StratumKey: Unterschied zwischen den Versionen

Aus Stratum 0
Wechseln zu:Navigation, Suche
K (de-fatco-status-update hardware-tokens)
(SSH-Hack: Unterstützte Schlüsseltypen)
 
(5 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 17: Zeile 17:
 
* '''Tür öffnen:''' <code>ssh auf@192.168.178.6</code>
 
* '''Tür öffnen:''' <code>ssh auf@192.168.178.6</code>
 
* '''Tür schließen:''' <code>ssh zu@192.168.178.6</code>
 
* '''Tür schließen:''' <code>ssh zu@192.168.178.6</code>
* '''Testen ob der SSH-Key eingetragen ist:''' <code>ssh test@192.168.178.6</code>  
+
* '''Testen ob der SSH-Key eingetragen ist:''' <code>ssh test@192.168.178.6</code>
** das geht auch von überall sonst außerhalb: <code>ssh -p 2278 test@status.stratum0.net</code>
+
** das geht auch von überall sonst außerhalb: <code>ssh -p 2278 test@status.stratum0.<b>net</b></code> (nicht <code>.org</code>) (bzw. mit grafischen Anwendungen den Port auf 2278 umstellen)
 +
** eine der letzten paar Zeilen in der Ausgabe sollte sein: <code>You are ready to use the door \o/</code>
  
 
Um Zugang zu erhalten, musst du [[Mitglied werden]] und einen SSH-Public-Key an {{Benutzer|Comawill}}, {{Benutzer|Daniel Bohrer}}, {{Benutzer|chrissi^}} oder {{Benutzer|larsan}} senden. Mit der Zeit haben sich einige [[Tür-Regeln]] herausgebildet, die beachtet werden sollten. (Einen Public Key kann man sich zum Beispiel mit ssh-keygen oder PuTTYgen selbst erstellen. RSA mit 2048 Bit ist ausreichend). Der Versand sollte entweder PGP-signiert erfolgen, alternativ wäre auch der Vergleich des Schlüssel-Fingerprints über ein unabhängiges Medium denkbar, oder auch Übergabe per USB-Stick/QR-Code/… im Space. Aber wir wüssten auf jeden Fall gerne genau, ob der Schlüssel, den wir da in unser Schließsystem eintragen, der von euch ist, und kein anderer.
 
Um Zugang zu erhalten, musst du [[Mitglied werden]] und einen SSH-Public-Key an {{Benutzer|Comawill}}, {{Benutzer|Daniel Bohrer}}, {{Benutzer|chrissi^}} oder {{Benutzer|larsan}} senden. Mit der Zeit haben sich einige [[Tür-Regeln]] herausgebildet, die beachtet werden sollten. (Einen Public Key kann man sich zum Beispiel mit ssh-keygen oder PuTTYgen selbst erstellen. RSA mit 2048 Bit ist ausreichend). Der Versand sollte entweder PGP-signiert erfolgen, alternativ wäre auch der Vergleich des Schlüssel-Fingerprints über ein unabhängiges Medium denkbar, oder auch Übergabe per USB-Stick/QR-Code/… im Space. Aber wir wüssten auf jeden Fall gerne genau, ob der Schlüssel, den wir da in unser Schließsystem eintragen, der von euch ist, und kein anderer.
  
Die Fingerprints des SSH-Servers auf <code>powerberry</code> sind:
+
Unterstützte Schlüsseltypen (Stand 2024):
<pre><nowiki>
+
* ssh-ed25519
-----BEGIN PGP SIGNED MESSAGE-----
+
* ssh-rsa
Hash: SHA512
 
  
1024 MD5:dd:99:81:e6:77:7b:31:1c:b7:24:1f:af:97:e1:41:28 (DSA)
+
Nicht unterstützte Schlüsseltypen (Stand 2024):
2048 MD5:a6:8b:8d:4a:cc:ef:13:94:d9:1c:67:a7:db:45:48:35 (RSA)
+
* sk-ecdsa-sha2-nistp256@openssh.com
256 MD5:8d:de:b0:00:72:2d:b5:8f:64:9e:8b:fb:a9:a1:7f:b3 (ECDSA)
 
  
1024 SHA1:h8vHq/WLDCRQbCzcythyOPB6Jnw (DSA)
+
=== Apps für Smartphones ===
2048 SHA1:F/m1wwecBSctRjPP9xcToQJhgBM (RSA)
 
256 SHA1:Dx18i8LctoeWR2oXUdSRlYPE6FA (ECDSA)
 
 
 
1024 SHA256:2ROva5E8UT6stQ7oqxS3uHYuO0l0gR5LgvZjrPvEBLg (DSA)
 
2048 SHA256:dBs8vh/DqDWCvu37nd6PwzGOlNmR/GSd/DlMGJw2q0A (RSA)
 
256 SHA256:Z9I6IWdocW/tjlJm23iiZ4m2dZVD512329g0B3nn/JA (ECDSA)
 
-----BEGIN PGP SIGNATURE-----
 
Version: GnuPG v2
 
 
 
iQIcBAEBCgAGBQJW3hw/AAoJELJBPGbdLD/qxmgP/R1LMReyyY6NZuzXmS6m6LVq
 
iwbhBdU2/GHdHa+F7n/qKNn1KhB2Op5Qp8fgAG5ltjUwPx3JjdHjLwJYUmpGbrfF
 
KFt4aj2blZnvjFJtT3z535jRP26nH8b9/DUjGUrFWRn7NS8eeZYctitaIfJ7b7cU
 
QHoKR3joYDWexPjohoSfoUd6j1+rOZ9moKsf46+lPJjCL9exN12eI7IVTMtJjAEL
 
IJ1MoUYjZ9jJYByMf7a76QpTV3+En0EAPA3fjgxt1HQjH/RZt9vsM9XaKTPk630w
 
Y4n53j/M8HS0EUWpkyyS5x3mjbVi4d+Dslx7N+MBDAF/8FLf/P3o7IKiv1SXOkmT
 
SKfwdy8b+FGYNlw6ZBEyKvzfaarFjRloT1HBjPbjb7gKteSi1dxwxyZo6HJwzN/R
 
eDQziq5d+1PofBiMjS9I9L3QDt+CChIYJIk83jG+WKgwIMIaTRtPSt0LWOeuI3XP
 
y8k5S658P6d4sBDAhlwktBqfdlxytiInGkSI9O/vNmSwMU9KItcYJ5Qp5u+2r8Ot
 
QqxMSBMKhcIDXqu1RGbVPSzPj4/U5W6y6cKuChGKypVkDFUUFkMUxDs2tW+VCcW6
 
0mm1wdw5pEFfPWNptKVsEXoN6yw/qtv3rCg75eWCjQSCa8kBJD00hus8vMTSHYwK
 
a6nh4yknzsqp8lbUndWv
 
=h0wG
 
-----END PGP SIGNATURE-----
 
</nowiki></pre>
 
  
=== Apps für Smartphones ===
+
* [[Widget|Stratum 0 Widget]]
 
* Android: TermBot ([https://f-droid.org/en/packages/org.sufficientlysecure.termbot/ FDroid], [https://play.google.com/store/apps/details?id=org.sufficientlysecure.termbot Google Play])
 
* Android: TermBot ([https://f-droid.org/en/packages/org.sufficientlysecure.termbot/ FDroid], [https://play.google.com/store/apps/details?id=org.sufficientlysecure.termbot Google Play])
 
** SSH-Key erstellen: im 3-Punkte-Menu über "Manage Pubkeys", dann das Plus-Icon oben rechts, RSA 2048 einstellen, Rest nach Belieben, Generate-Button. Durch Lang-Tipp auf den neu erstellten Schlüssel erscheint ein Menü, über das der Public Key kopiert werden kann.
 
** SSH-Key erstellen: im 3-Punkte-Menu über "Manage Pubkeys", dann das Plus-Icon oben rechts, RSA 2048 einstellen, Rest nach Belieben, Generate-Button. Durch Lang-Tipp auf den neu erstellten Schlüssel erscheint ein Menü, über das der Public Key kopiert werden kann.
 
** Profil erstellen: Zurück im Hauptmenü auf den Plus-Button unten rechts, Username und Host wie oben erwähnt einfüllen, und unter "Use pubkey authentication" den eben erstellten Key auswählen. Zusätzlich sinnvoll ist auch die Option "Close on disconnect" auszuschalten, sodass man mögliche Fehlermeldungen noch sehen kann. Zum Schluss das Profil mit Tipp auf den Plus-Button in der Menüleiste anlegen.
 
** Profil erstellen: Zurück im Hauptmenü auf den Plus-Button unten rechts, Username und Host wie oben erwähnt einfüllen, und unter "Use pubkey authentication" den eben erstellten Key auswählen. Zusätzlich sinnvoll ist auch die Option "Close on disconnect" auszuschalten, sodass man mögliche Fehlermeldungen noch sehen kann. Zum Schluss das Profil mit Tipp auf den Plus-Button in der Menüleiste anlegen.
 
** Für zusätzliche Bequemlichkeit können die beiden erstellten Termbot-Profile ("auf" und "zu") über das Widget-Auswahlmenü auf dem Homescreen platziert werden.
 
** Für zusätzliche Bequemlichkeit können die beiden erstellten Termbot-Profile ("auf" und "zu") über das Widget-Auswahlmenü auf dem Homescreen platziert werden.
 +
* Android, alternativ: ganz normales OpenSSH in einer [https://termux.com/ termux]-Umgebung
 
* iOS: WebSSH Pro ([https://apps.apple.com/us/app/webssh-pro/id497714887 App Store]) ''kostenpflichtig''
 
* iOS: WebSSH Pro ([https://apps.apple.com/us/app/webssh-pro/id497714887 App Store]) ''kostenpflichtig''
 
** SSH in der Menubar auswählen
 
** SSH in der Menubar auswählen

Aktuelle Version vom 27. April 2024, 18:12 Uhr

StratumKey
Beschreibung: Elektronisches Zugangssystem
Kontakt: Comawill, Daniel Bohrer
Status: aktiv (Was heißt das?)
Quellcode: https://gitli.stratum0.org/stratum0/stratumkey

StratumKey ist das Schließsystem unseres Spaces. Geplant war mal eine Umsetzung mit Hardware-Tokens, zur Zeit ist nur die SSH-basierte Variante aktiv. Beides basiert auf einer KeyMatic, die elektronisch den Space auf- und zuschließen kann. (Dazu muss man manchmal die Batterien wechseln, es gibt dafür regelmäßige Batterie-Wechselparties.) Als Fallback gibt es physische Schlüssel bei einigen Leuten.

SSH-Hack

In Ermangelung an Schlüsseln haben wir die KeyMatic mit etwas Magie an Wikipedia-W.svgSSH angebunden. Damit existiert eine Möglichkeit, per SSH-Public-Key im Stratum 0 WLAN die Tür zu öffnen. Jedes Öffnen und Schließen wird protokolliert.

  • Tür öffnen: ssh auf@192.168.178.6
  • Tür schließen: ssh zu@192.168.178.6
  • Testen ob der SSH-Key eingetragen ist: ssh test@192.168.178.6
    • das geht auch von überall sonst außerhalb: ssh -p 2278 test@status.stratum0.net (nicht .org) (bzw. mit grafischen Anwendungen den Port auf 2278 umstellen)
    • eine der letzten paar Zeilen in der Ausgabe sollte sein: You are ready to use the door \o/

Um Zugang zu erhalten, musst du Mitglied werden und einen SSH-Public-Key an Comawill, Daniel Bohrer, chrissi^ oder larsan senden. Mit der Zeit haben sich einige Tür-Regeln herausgebildet, die beachtet werden sollten. (Einen Public Key kann man sich zum Beispiel mit ssh-keygen oder PuTTYgen selbst erstellen. RSA mit 2048 Bit ist ausreichend). Der Versand sollte entweder PGP-signiert erfolgen, alternativ wäre auch der Vergleich des Schlüssel-Fingerprints über ein unabhängiges Medium denkbar, oder auch Übergabe per USB-Stick/QR-Code/… im Space. Aber wir wüssten auf jeden Fall gerne genau, ob der Schlüssel, den wir da in unser Schließsystem eintragen, der von euch ist, und kein anderer.

Unterstützte Schlüsseltypen (Stand 2024):

  • ssh-ed25519
  • ssh-rsa

Nicht unterstützte Schlüsseltypen (Stand 2024):

  • sk-ecdsa-sha2-nistp256@openssh.com

Apps für Smartphones

  • Stratum 0 Widget
  • Android: TermBot (FDroid, Google Play)
    • SSH-Key erstellen: im 3-Punkte-Menu über "Manage Pubkeys", dann das Plus-Icon oben rechts, RSA 2048 einstellen, Rest nach Belieben, Generate-Button. Durch Lang-Tipp auf den neu erstellten Schlüssel erscheint ein Menü, über das der Public Key kopiert werden kann.
    • Profil erstellen: Zurück im Hauptmenü auf den Plus-Button unten rechts, Username und Host wie oben erwähnt einfüllen, und unter "Use pubkey authentication" den eben erstellten Key auswählen. Zusätzlich sinnvoll ist auch die Option "Close on disconnect" auszuschalten, sodass man mögliche Fehlermeldungen noch sehen kann. Zum Schluss das Profil mit Tipp auf den Plus-Button in der Menüleiste anlegen.
    • Für zusätzliche Bequemlichkeit können die beiden erstellten Termbot-Profile ("auf" und "zu") über das Widget-Auswahlmenü auf dem Homescreen platziert werden.
  • Android, alternativ: ganz normales OpenSSH in einer termux-Umgebung
  • iOS: WebSSH Pro (App Store) kostenpflichtig
    • SSH in der Menubar auswählen
    • Plus Knopf drücken
    • "Add SSH Connection"
    • SSH Daten eintragen
    • Private Key
    • Schlüssel Symbool oben rechts drücken
    • Daten eintragen und Private Key dort importieren (Muss vorher an einem anderen Gerät erstellt werden)

Schlüssel hinzufügen

Entitäten mit SSH-Zugriff auf dem System (siehe oben) können Schlüssel hinzufügen und entfernen.

Die Schlüssel liegen im OpenSSH-Pubkey-Format (z.B. ssh-rsa AAAAB3Nz...GR0GAzC4n gefolgt von beliebigem Kommentar, alles auf einer Zeile!) in einem Git-Repo unter ssh://pi@powerberry.s0/home/pi/stratumkey-keys.git. Das Format der Dateinamen ist nickname.pub, wobei nickname gerne durch unterscheidbare Präfixe, z.B. nickname@handy ergänzt wird. Nach add + commit + push werden die neuen Schlüssel automatisch im System aktiviert und können benutzt werden.

Aufschließen

Um mithilfe des Schlüssels Zugang zum Space zu erhalten, muss folgendes getan werden:

  • Via IRC oder Matrix-Chat den Status des Space auf "offen" stellen.
    • Dazu im Chat den Befehl @auf senden.
  • Jetzt öffnet sich die Außentür beim Betätigen der Klingel draußen.
  • Mit Stratum 0 WLAN verbinden
  • ssh auf@192.168.178.6 ausführen, die Tür öffnet sich.

Hardware

Die akuele hardware bestehend aus einem RaspberryPi und kabel befindend sich in der Überarbeitung bei Lichtfeind. Für updates siehe: https://pad.stratum0.org/p/tr-diary

Hardware-Variante (obsolete)

Hinweis:
Die Hardware-Variante befindet sich noch in der Planung und ist noch nicht in Betrieb.

Bei den Hardware-Tokens soll es sich um einen elektronischen Schlüssel handeln, mit dessen Hilfe sich ein Mitglied ohne zusätzliches Endgerät Zutritt zum Space verschaffen kann. Das System besteht aus zwei Mikroprozessoren, die (drahtgebunden) über ein One-Wire-Protokoll eine Authentifizierung per Challenge-Response-Verfahren vornehmen.

Der "Schlüssel" besteht aus einem ATTiny85, der in das Gehäuse eines 6,3mm Klinkensteckers eingegossen ist. Jedes Mitglied hat einen individuellen Schlüssel, so dass bei Verlust einzelne Schlüssel aus dem System entfernt werden können. Die Authentifizierung erfolgt durch Einstecken in eine entsprechende Buchse neben der Eingangstür.

System

Das System besteht aus einer Master- und einer Slaveseite, wobei der Schlüssel den Slave darstellt. Der Slave besteht aus nicht mehr als einem 6,3mm Stereo-Klinkenstecker und einem ATTiny85, der in der fertigen Version fest im Gehäuse des Steckers vergossen sein soll. Die Masse des Steckers (Schaft) ist mit GND belegt, der linke Kanal (Spitze) mit VCC und der rechte Kanal (Ring/Mitte) mit dem One-Wire-Pin.

Auf der Masterseite ist ein ATMega8, der im Wesentlichen als Relais dient. Er leitet die über One-Wire ankommenden Daten via UART weiter an einen Rechner, der die Authentifizierung durchführt. Das wird aller Wahrscheinlichkeit nach der StatusBerry werden (oder der Rechner, auf dem der Open/Close-Monitor dann läuft).

Key

BOM

Anzahl Name Preis
1 6,3mm Klinke mit recht großer Schraubkappe, damit der ATtiny reinpasst 0,50-5 €
1 Atmel ATtiny85 (es geht ggf. auch 45) 1,40 €
1 5,5V QUAD TVS-Schutzdioden SMD VCUT05A4-05S-G-08 (dringend empfohlen) 0,10 €
1 1µF Keramik Konensator SMD (dringend empfohlen) 0,01 €
1 LED (optional) 0,10 €
x etwas Draht -

Fertigungsdaten HW01

Host

Fertigungsdaten HW01

Software

Onis Anpassung

Die Software der AVRs ist in C geschrieben (große Überraschung) und kann von dem Github-Repository https://github.com/hellfyre/stratumkey heruntergeladen, geforkt, beobachtet oder erweitert werden.

Die Software, die die Authentifizierung übernimmt, ist in Python geschrieben und befindet sich in dem Github-Repository https://github.com/hellfyre/stratumkey-daemon.

Nach dem cbounce uns darauf hingewiesen hat, dass es evtl. schlecht ist alle Keys ungesichert zu speicher habe ich(--Oni 00:29, 29. Aug. 2012 (CEST)) mir mal einige Gedanken gemacht. Der Schlüssel wird demnach zwei Keys bekommen, mit dem einen kann der Master dann den zweiten, für die Challenge genutzten, entschlüsseln. Hab dazu mal ein Bild gemacht und was programmiert(git://github.com/oni303/stratumkey-daemon.git branch double_key)..